Instagram büyüme araçlarına dikkat edin, giriş bilgilerini çalmak ve bunları saldırganlara göndermek

Socket’in tehdit araştırma ekibinin bir keşfi imad213Instagram büyüme aracı olarak maskelenmek.

Olarak tanımlanan bir tehdit oyuncusu tarafından yaratılan im_ad__213 İlişkili e -posta ile madmadimado59@gmail[.]combu kötü amaçlı yazılım kurnazca kullanıcıları Instagram kimlik bilgilerini teslim etmeye kandırır.

Aldatıcı python paketi Instagram kullanıcılarını hedefler

Cilalı bir Github ReadMe ile tanıtılan ve “Imad-213” kisvesi altında meşru bir takipçi güçlendirici hizmet olarak markalanan paket, kurbanları forumlar ve anlaşmazlık sunucuları aracılığıyla hızlı sosyal medya büyümesi vaatleriyle çekiyor.

– Reklamcılık –

Ayrıntılı kurulum talimatları (pip install imad213) ve geçici hesaplar kullanmak gibi aldatıcı güvenlik ipuçları, yanlış bir güvenlik duygusu oluşturur ve kullanıcıları şüphe olmadan hassas verileri girmeye ikna eder.

İnfaz üzerine, imad213 NetLify’da barındırılan uzak bir sunucu ile gizli bir kontrol başlatır (https://imad-213-imad21[.]netlify[.]app/pass[.]txt) Devam edip edemeyeceğini doğrulamak için, saldırganın kötü amaçlı yazılımlar üzerinde tam kontrol sağlayan uzak bir öldürme anahtarı sergileyerek.

Onaylanırsa, araç, büyüme hizmetlerini kolaylaştırma bahanesi altında kullanıcılara Instagram giriş bilgilerini istemektedir, hatta bunları düz metin olarak yerel olarak kaydettirir, credentials.txt Sosyal mühendislik taktiği olarak uygun ve güvenilir görünmektedir.

Kimlik bilgisi hasat

Bununla birlikte, gerçek tehlike bir sonraki hamlesinde yatmaktadır: kötü amaçlı yazılım, bu kimlik bilgilerini birbirine bağlı Türk bot hizmetinden oluşan bir ağa yayınlar, takipcimx[.]net Ve takipcizen[.]comprofesyonel arayüzlere sahip meşru Instagram büyüme platformları olarak poz veren.

Soket raporuna göre, yaklaşık dört yıl boyunca çalıştırılan ve paylaşılan whois kayıtları ve ortak bir kayıt şirketi aracılığıyla bağlantılı olan bu siteler, kimlik avı için Virustotal gibi güvenlik araçları tarafından işaretlenerek, koordineli, uzun vadeli bir kimlik bilgisi hasat işlemini ortaya çıkarır.

Bu kimlik bilgisi aklama ağı, çalınan verileri birden çok uç noktaya dağıtır, orijinini gizler ve özellikle Instagram’ın 2 milyar aktif kullanıcısı ve şifrelerin sık sık yeniden kullanılması göz önüne alındığında, platformlar arasında hesap uzlaşma riskini artırır.

Hemen hırsızlığın ötesinde, saldırı arkasındaki aynı aktör gibi gelişen tehditlere işaret ediyor imad213 gibi başka kötü niyetli araçlar hazırladı taya Ve poppo213 tutarlı marka ve kodlama modelleri ile.

Komuta ve kontrol için NetLify gibi meşru barındırma hizmetlerini kullanmak, gelecekteki kötü amaçlı yazılımların güvenilir altyapılarda gizlenebileceği ve geleneksel tespitten kaçınabileceği bir eğilim olduğunu göstermektedir.

Ayrıca, sahte güvenlik danışmanları gibi sosyal mühendislik taktikleri, ek güvenlik verilerini çıkarmak için sahte iki faktörlü kimlik doğrulama istemleri gibi daha aldatıcı özelliklere ilerleyebilir.

Instagram’ın yapay büyüme araçlarına karşı katı politikaları, kullanıcıların veri kaybının yanı sıra risk hesabı askıya alınması anlamına gelirken, daha geniş sonuçlar platformlar arası hedeflemeye işaret ediyor, potansiyel olarak tiktok veya birleşik saldırı çerçeveleri içindeki oyun kimlik bilgilerini kapsıyor.

Socket’in gerçek zamanlı davranışsal analiz ve GitHub uygulama entegrasyonları da dahil olmak üzere güvenlik çözümleri, bu tür tedarik zinciri tehditlerini sistemlere sızmadan işaretleyerek bir savunma sunar ve sofistike sosyal medya kötü amaçlı yazılım çağında uyanıklık ihtiyacının altını çizer.

Uzlaşma Göstergeleri (IOCS)

Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.